SQL Server正确的删除Windows认证用户

做人要淡定

下面这种方式，仅仅是删除登录名（ login ），然而并没有删除用户（ User)

1. USE [master]
   
2. GO
   
3. 
   
4. DROP LOGIN [xxx\xxxx]
   
5. GO

复制代码

你删除登录名的时候，就会遇到类似下面的告警信息：

Deleting server logins does not delete the database users associated with the logins. To complete the process, delete the users in each database. It may be necessary to first transfer the ownership of schemas to new users.

也就是说，虽然你删除了登录名，但是对应用户数据库或系统数据库相关的User权限并没有清理，在SQL Server中登录名（Server Login)跟数据库的用户（database User）是分离开来，但是又有关联的。所以正确的姿势： 在删除登录名（login）后，还必须去每个数据库，删除对应的用户（user). 在删除登录名前必须检查，有那些作业的OWNER或数据库的OWNER的为该 Windows 认证账号（ NT账号），否则后面就会遇到一些问题：

1：如果删除Windows认证用户前，没有修改作业的OWNER(如果此作业的OWNER为此Windows用户的话，那么删除Windows认证用户后，作业就会报类似下面这种错误。

The job failed.   The owner (xx\xxx) of job syspolicy_purge_history does not have server access.

    所以在删除Windows认证用户前，必须检查并修改作业的Owner，避免这种情况出现。

2：删除Windows认证用户前，确认是否有数据库的OWNER为此Windows认证用户。否则删除登录名时会报错
Msg 15174, Level 16, State 1, Line 4

Login 'xxx\xxxx' owns one or more database(s). Change the owner of the database(s) before dropping the login.

Msg 15174, Level 16, State 1, Line 4

登录名 'xxx\xxx' 拥有一个或多个数据库。在删除该登录名之前，请更改相应数据库的所有者。

必须修改数据库的Owner后（一般将数据库的owner改为sa），才能删除登录名

sp_changedbowner 'sa'

3：有时候删除用户时，报下面错误，必须修改后，才能删除对应的用户。
遇到下面错误：
Msg 15138, Level 16, State 1, Line 3

数据库主体在该数据库中拥有架构，无法删除。

Msg 15138, Level 16, State 1, Line 3

The database principal owns a schema in the database, and cannot be dropped.

USE YourSQLDba ;

GO

ALTER AUTHORIZATION ON SCHEMA :: [db_owner]   TO [dbo] ;

USE [YourSQLDba]

GO

DROP USER [xxx\konglb] ;

GO

   当然要根据实际情况来处理

USE [UserDatabase];

GO

ALTER AUTHORIZATION ON SCHEMA::[xxx]   TO [dbo];

另外一种是用户创建的Schema,这个根上面情况没有差别。

所以正确的删除登录名,可以用脚本生成对应的SQL（当然也可以执行对应的SQL，但是这种高位操作，建议生成脚本，人工判断后，手工执行）

1. 
   
2. DECLARE @login_name  sysname;
   
3. SET @login_name='GFG1\chenzhenh'
   
4. 
   
5. SELECT  d.name        AS database_name,
   
6.         owner_sid    AS owner_sid ,
   
7.         l.name        AS database_owner
   
8. FROM    sys.databases d
   
9.         LEFT JOIN sys.syslogins l ON l.sid = d.owner_sid
   
10. WHERE l.name=@login_name;
    
11. 
    
12. 
    
13. 
    
14. SELECT  'USE ' + d.name + CHAR(10)
    
15.         + 'GO' + CHAR(10)
    
16.         + 'EXEC dbo.sp_changedbowner @loginame =N''sa'', @map = false' AS change_db_owner_cmd
    
17. FROM    sys.databases d
    
18.         LEFT JOIN sys.syslogins l ON l.sid = d.owner_sid
    
19. WHERE   l.name = @login_name;
    
20. 
    
21. 
    
22. SELECT j.job_id                                         AS JOB_ID            
    
23.       ,j.name                                         AS JOB_NAME         
    
24.       ,CASE WHEN [enabled] =1 THEN 'Enabled'
    
25.                               ELSE 'Disabled'  END   AS JOB_ENABLED   
    
26.       ,l.name                                         AS JOB_OWNER   
    
27.       ,j.category_id                                 AS JOB_CATEGORY_ID
    
28.       ,c.name                                         AS JOB_CATEGORY_NAME
    
29.       ,[description]                                 AS JOB_DESCRIPTION   
    
30.       ,date_created                                     AS DATE_CREATED      
    
31.       ,date_modified                                 AS DATE_MODIFIED
    
32. FROM msdb.dbo.sysjobs j
    
33. INNER JOIN msdb.dbo.syscategories c ON j.category_id = c.category_id
    
34. INNER JOIN sys.syslogins l ON l.sid = j.owner_sid
    
35. WHERE l.name= @login_name
    
36. ORDER BY j.name
    
37. 
    
38. 
    
39. 
    
40. DECLARE  @job_owner   NVARCHAR(32);
    
41. 
    
42. SET @job_owner='sa';
    
43. 
    
44. SELECT  'EXEC msdb.dbo.sp_update_job @job_name=N''' +j.name + ''', @owner_login_name=N''' + RTRIM(LTRIM(@job_owner)) + ''';' AS change_job_owner_cmd
    
45. FROM msdb.dbo.sysjobs j
    
46. INNER JOIN msdb.dbo.syscategories c ON j.category_id = c.category_id
    
47. INNER JOIN sys.syslogins l ON l.sid = j.owner_sid
    
48. WHERE l.name = @login_name
    
49. ORDER BY j.name
    
50. 
    
51. 
    
52. SELECT  '
    
53. USE [master]
    
54. GO
    
55. DROP LOGIN  ' + QUOTENAME(@login_name) +  
    
56. '
    
57. GO
    
58. ' AS  drop_login_user;
    
59. 然后删除用户(User),此脚本也可以清理那些登录名已经删除，但是对应的USER没有清理的Windows 认证用户。此脚本可能有一些逻辑上的Bug，个人也是fix掉了一些Bug后，才发布这篇博客。如果遇到什么Bug，可以留言反馈。
    
60. 
    
61. DECLARE @database_id    INT;
    
62. DECLARE @database_name  sysname;
    
63. DECLARE @cmdText        NVARCHAR(MAX);
    
64. DECLARE @prc_text       NVARCHAR(MAX);
    
65. DECLARE @RowIndex       INT;
    
66. DECLARE @user_name        NVARCHAR(128);
    
67. 
    
68. 
    
69. IF OBJECT_ID('TempDB.dbo.#databases') IS NOT NULL
    
70.     DROP TABLE dbo.#databases;
    
71. 
    
72. CREATE TABLE #databases
    
73. (
    
74.     database_id        INT,
    
75.     database_name   sysname
    
76. )
    
77. 
    
78. 
    
79. INSERT  INTO #databases
    
80. SELECT  database_id ,
    
81.         name
    
82. FROM    sys.databases
    
83. WHERE   name NOT IN ( 'master', 'tempdb', 'model', 'msdb',
    
84.                         'distribution', 'ReportServer',
    
85.                         'ReportServerTempDB', 'YourSQLDba' )
    
86.         AND state = 0; --state_desc=ONLINE
    
87. 
    
88. 
    
89. CREATE TABLE #removed_user
    
90. (
    
91.     username sysname
    
92. )
    
93. 
    
94. --开始循环每一个用户数据库（排除了上面相关数据库）
    
95. WHILE 1= 1
    
96. BEGIN
    
97. 
    
98. 
    
99.     SELECT TOP 1 @database_name= database_name   
    
100.     FROM #databases
     
101.     ORDER BY database_id;
     
102. 
     
103.     IF @@ROWCOUNT =0
     
104.         BREAK;
     
105. 
     
106. 
     
107.     SET @cmdText =  'USE ' + @database_name + ';' +CHAR(10)
     
108. 
     
109.     SELECT @cmdText += 'INSERT INTO #removed_user
     
110.                         SELECT  name FROM sys.sysusers
     
111.                         WHERE sid NOT IN (SELECT sid FROM sys.syslogins WHERE isntname=1 AND name LIKE ''GFG1%'')
     
112.                           AND isntname=1 AND name NOT IN (''NT AUTHORITY\SYSTEM'')' + CHAR(10);
     
113.    
     
114.     EXEC SP_EXECUTESQL @cmdText
     
115. 
     
116.     SELECT @database_name AS database_name;
     
117. 
     
118.     SELECT j.job_id                                         AS JOB_ID            
     
119.           ,j.name                                         AS JOB_NAME         
     
120.           ,CASE WHEN [enabled] =1 THEN 'Enabled'
     
121.                                   ELSE 'Disabled'  END   AS JOB_ENABLED   
     
122.           ,l.name                                         AS JOB_OWNER   
     
123.           ,j.category_id                                 AS JOB_CATEGORY_ID
     
124.           ,c.name                                         AS JOB_CATEGORY_NAME
     
125.           ,[description]                                 AS JOB_DESCRIPTION   
     
126.           ,date_created                                     AS DATE_CREATED      
     
127.           ,date_modified                                 AS DATE_MODIFIED
     
128.     FROM msdb.dbo.sysjobs j
     
129.     INNER JOIN msdb.dbo.syscategories c ON j.category_id = c.category_id
     
130.     INNER JOIN sys.syslogins l ON l.sid = j.owner_sid
     
131.     INNER JOIN #removed_user r ON l.name = r.username
     
132.     ORDER BY j.name;
     
133. 
     
134. 
     
135.     SELECT  d.name                AS database_name ,
     
136.             l.name                AS database_owner ,
     
137.             d.create_date        AS create_date ,
     
138.             d.collation_name    AS collcation_name ,
     
139.             d.state_desc        AS state_desc
     
140.     FROM    sys.databases d
     
141.             INNER JOIN sys.syslogins l ON d.owner_sid = l.sid
     
142.             INNER JOIN #removed_user r ON r.username = l.name
     
143. 
     
144.    
     
145.     SET @cmdText =  'USE ' + @database_name + ';' +CHAR(10)
     
146. 
     
147.     SET @cmdText += 'SELECT * FROM sys.schemas  s
     
148.                         INNER JOIN  #removed_user r ON s.name =r.username Collate Database_Default' + CHAR(10);
     
149.      
     
150.     EXEC SP_EXECUTESQL @cmdText;
     
151. 
     
152. 
     
153.     SET @cmdText =  'USE ' + @database_name + ';' +CHAR(10)
     
154. 
     
155.     SET @cmdText += 'SELECT * FROM sys.objects WHERE schema_id IN (SELECT s.schema_id FROM sys.schemas s INNER JOIN  #removed_user r ON s.name =r.username Collate Database_Default);'
     
156. 
     
157.     EXEC SP_EXECUTESQL @cmdText;
     
158. 
     
159.     SET @cmdText =  'USE ' + @database_name + ';' +CHAR(10)
     
160.     SET @cmdText += 'SELECT ''USE ' + @database_name + ';'' + CHAR(10) +''GO'' + CHAR(10) +''ALTER AUTHORIZATION ON SCHEMA::'' +QUOTENAME(s.name) +''  TO [dbo];'' AS change_schema_cmd FROM sys.schemas  s
     
161.                         INNER JOIN  #removed_user r ON s.name =r.username Collate Database_Default '  + CHAR(10);
     
162. 
     
163.     EXEC SP_EXECUTESQL @cmdText, N'@database_name sysname',@database_name ;
     
164.    
     
165.     SET @cmdText =  'USE ' + @database_name + ';' +CHAR(10)
     
166.     SET @cmdText += 'SELECT  ''USE ' + @database_name + ';'' + CHAR(10) +''GO'' + CHAR(10) +''ALTER AUTHORIZATION ON SCHEMA::'' +QUOTENAME(s.SCHEMA_NAME) +''  TO [dbo];'' AS change_schema_cmd
     
167.                      FROM    INFORMATION_SCHEMA.SCHEMATA s
     
168.                      INNER JOIN  #removed_user r ON s.SCHEMA_OWNER =r.username Collate Database_Default'  + CHAR(10);
     
169. 
     
170.     EXEC SP_EXECUTESQL @cmdText, N'@database_name sysname',@database_name ;
     
171. 
     
172.     SELECT  'USE ' + QUOTENAME(@database_name) + CHAR(10)
     
173.           + 'GO '  + CHAR(10)
     
174.           + 'DROP USER ' + QUOTENAME(username) +';' + CHAR(10)
     
175.           + 'GO'  AS drop_user_cmd
     
176.     FROM #removed_user;
     
177. 
     
178. 
     
179.     TRUNCATE TABLE #removed_user;
     
180. 
     
181. 
     
182.     DELETE FROM #databases WHERE database_name=@database_name;
     
183. 
     
184. END
     
185. 
     
186. DROP TABLE  #databases;
     
187. DROP TABLE #removed_user;

复制代码